「アタックサーフェス管理」とは、今日からできることは――日本ハッカー協会の杉浦氏が「OSINT」視点で考える：ITmedia Security Week 2024 冬

2024年3月4日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」における「アタックサーフェス管理」ゾーンで、日本ハッカー協会 代表理事 杉浦隆幸氏が「今日から始めるアタックサーフェス管理」と題して講演。日本ハッカー協会として「日本のハッカーが活躍できる社会を作る」べく活動する杉浦氏が、幅広いセキュリティ分野の中から「アタックサーフェス管理」をキーワードに、OSINT技術を通じてセキュリティ対策の根幹を語った。

[宮田健，＠IT]

攻撃される場所を特定し、管理する

日本ハッカー協会 代表理事 杉浦隆幸氏

　杉浦氏はまず、OSINT（Open Source Intelligence）でも重要な考え方である情報の分類を解説する。日本語では「情報」と表現されるものは、英語では大きく分けて下記の3種がある。

• データ：存在する情報
• インフォメーション：意味のある情報
• インテリジェンス：利用価値のある、統合分析された情報。必要なときに取得できる。重要な判断を下すときに使うので、正確さが必要

情報の種類（杉浦氏の講演資料から引用）

　単に意味のある情報があればよいわけではなく、利用価値のある情報、そしてそれを基に判断し、行動に移せるような情報を「インテリジェンス」と定義する。

　「アタックサーフェス管理（ASM）とはOSINTの一種であり、インテリジェンスを提供できるものを主体としている」（杉浦氏）

　アタックサーフェス管理におけるインテリジェンスは、依頼者からの要求を基にそれを調整し、収集、分析、報告というフローをたどる。「収集するだけでなく、分析して報告しなければ最終的に誰も動いてくれない。依頼者がインテリジェンスに基づき、何かしら実行に移せることが必要だ」と杉浦氏は指摘する。

インテリジェンスは最終的に実行を伴うものになる（杉浦氏の講演資料から引用）